8.12. 身份管理
现在,常规用户的分页搜索不会影响性能
在以前的版本中,当目录服务器位于搜索负载下时,常规用户的分页搜索可能会影响服务器性能,因为锁与轮询网络事件的线程发生冲突。另外,如果在发送页搜索时发生网络问题,则整个服务器都没有响应,直到 nsslapd-iotimeout 参数过期为止。有了此更新,锁被分成几个部分,以避免与网络事件争用。因此,在常规用户的分页搜索过程中不会影响性能。
模式复制现在可以在目录服务器中正常工作
在以前的版本中,当目录服务器将模式复制到新服务器时,它会将所有模式添加到远程副本上的 99user.ldif 文件中。这似乎都是自定义模式,因为对所有定义,X-ORIGIN 关键字都设为了 user defined。因此,可能会导致 web 控制台出现问题,也可能导致对监控架构并期望 X-ORIGIN 关键字有特定值的客户出现问题。有了此更新,模式复制可以按预期工作。
Referra 模式现在可以在目录服务器中正常工作
在以前的版本中,CLI 将 nsslapd-referral 配置属性设置为后端,而不是映射树。因此,referral 模式无法正常工作。有了此更新,nsslapd-referral 属性会被正确设置,referral 模式可以按预期工作。
LMDB 导入现在可以更快地工作
在以前的版本中,要构建 entryrdn 索引,LMDB 导入 worker 线程会等待其他 worker 线程,以确保父条目被处理。这会产生锁竞争,从而大大减慢导入速度。有了此更新,通过 LMDB 数据库的 LDIF 导入已被重新设计,提供者线程会在 worker 线程用来构建 entryrdn 索引的临时数据库中存储有关条目 RDN 及其父级的数据。因此,不再需要 worker 线程同步,平均导入率更佳。
请注意,LMDB 导入速率仍然比 BDB 导入慢三倍,因为 LMDB 不支持并发写事务。
dirsrv 服务现在在重启后正确启动
在以前的版本中,dirsrv 服务在重启后无法启动,因为 dirsrv 服务没有明确等待 systemd-tmpfiles-setup.service 完成。这会导致竞争条件。有了此更新,dirsrv 服务会等待 systemd-tmpfiles-setup.service 完成,重启后不再无法启动。
更改安全参数现在可以正常工作
在以前的版本中,当使用 dsconf instance_name security set 命令更改安全参数时,操作会失败并显示错误:
Name 'log' is not defined
有了此更新,security 参数更改可以正常工作。
SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName
在以前的版本中,如果 ldap_user_name 在 AD 客户端上被设置为 sAMAccountName 以外的值,则基于 GPO 的访问控制失败。有了此更新,在评估基于 GPO 的访问控制时,SSSD 总是使用 sAMAccountName。即使 ldap_user_name 在 AD 客户端上被设置为与 sAMAccountName 不同的值,基于 GPO 的访问控制现在也可以正常工作。
在检索用户时,SSSD 现在可以处理 user_attributes 选项中的重复属性
在以前的版本中,如果 sssd.conf 在 user_attributes 选项中包含重复属性,则 SSSD 无法正确处理这些重复。因此,具有这些属性的用户无法被检索。有了此更新,SSSD 可以正确地处理重复。因此,具有重复属性的用户现在可以被检索。
现在,动态 Kerberos PAC 票据签名强制机制修复了 IdM 中的跨版本不兼容
在以前的版本中,如果您的身份管理(IdM)部署的服务器同时在 RHEL 9 和 RHEL 8 上运行,则由 Privilege Attribute 证书(PAC)票据签名支持的上游实现导致的不兼容性会导致某些操作失败。有了此更新,RHEL 9 中的动态票据签名强制机制功能的实现修复了这个跨版本不兼容。要使这个功能实际生效,您必须:
- 更新 域中的所有服务器。
- 重启所有 IdM Kerberos 分发中心(KDC)服务。
这两个操作的顺序非常重要。启动时,KDC 会查询域中所有其他服务器的元数据,以检查它们是否都支持 PAC 票据签名。否则,签名不会被强制执行。
有关动态 Kerberos PAC 票据签名强制机制的更多信息,包括受限委托请求的示例,请参阅此 知识库文章。
JIRA:RHELDOCS-17011[1], Bugzilla:2182683,Bugzilla:2178298
现在,在 FIPS 模式下允许 SHA-1 签名验证
在以前的版本中,当身份管理在(IdM) FIPS 模式下时,不允许使用 SHA-1 签名验证。这是因为 IdM 使用 FIPS-140-3 标准,这不允许 SHA-1 签名。这种情况导致了与活动目录(AD)的互操作性问题,因为 AD 仅符合旧的 FIPS-140-2 标准,因此需要 SHA-1 签名。
此更新为 PKINIT 签名验证引入了一个 FIPS 异常。当在 IdM 中启用了 FIPS 模式时,其限制被忽略。仅应用默认模式限制,即使在 FIPS 模式下,也允许使用 SHA1 加密模块。因此,在 FIPS 模式下, AD 互操作性按预期正常工作。
在 IdM/AD 信任,或使用 RHEL 9.2 或更高版本的主机作为 AD 客户端的情况下,您需要将加密策略设置为 FIPS:AD-SUPPORT:SHA1 ,来在 FIPS 模式下支持 PKINIT。
现在不再允许删除 IdM admin 用户
在以前的版本中,如果您是 admins 组的成员,则无法阻止您删除身份管理(IdM) admin 用户。缺少 admin 用户会导致 IdM 和活动目录(AD)之间的信任停止正常工作。有了此更新,您可以不再删除 admin 用户。因此,IdM-AD 信任可以正常工作。
ipa-kdb 不再导致 krb5kdc 失败
在以前的版本中,ipa-kdb 驱动程序不会区分没有服务器主机对象和连接失败。因此,krb5kdc 服务器有时会意外停止,由于与 LDAP 服务器的连接问题产生的 NULL LDAP 上下文。
有了此更新,ipa-kdb 驱动程序可以正确地识别连接失败,并将它们与没有服务器主机对象进行区分。因此,krb5kdc 服务器不会再失败。
IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置
在以前的版本中,IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新,OpenSSH 使用默认的信任存储,IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。
当可信 AD 用户的名称包含混合问题单字符时,IdM 客户端可以正确地检索它们的信息
在以前的版本中,如果您尝试用户查找或用户的身份验证,并且可信活动目录(AD)用户在其名称中包含混合大小写字符,且在 IdM 中使用覆盖进行了配置,则会返回一个错误,阻止用户访问 IdM 资源。
随着 RHBA-2023:4359 的发布,区分大小写的比较将被忽略字符大小写的不区分大小写的比较替代。因此,IdM 客户端现在可以查找 AD 可信域的用户,即使其用户名包含混合大小写字符,且它们在 IdM 中使用覆盖进行了配置。
JIRA:SSSD-6096
